新加坡個資保護法責任指南
新加坡個人資料保護法(Personal Data Protection Act 2012, PDPA)的基本原則之一在於可歸責性(Accountability)之建立,原因在於個資保護的責任歸屬,是組織對個資的持有與控制所為的承諾與責任表示。因此,PDPA第11、12條之法遵責任,組織必須對所持有或控制的個資負責,並且需制定並實施資料保護政策、溝通並告知員工相關政策、及履行PDPA義務所必須施行之流程與作法。於組織責任而言,PDPA雖有強制性義務責任,但應忖量組織內部責任歸屬的措施,而非僅將責任落於遵守法律的程度,組織必須從合於法規的方法轉為基於責任歸屬的方法來管理個人資料。
從而,該指南在政策、人員、流程等領域中透過資料生命週期的循環,確立組織責任歸屬。從落實良好的責任制始於組織領導力的概念出發,設定組織管理高層之職責與調性,繼而規劃處理個資及管理資料風險的方法。並由組織人員治理面向,確立溝通資訊與員工培訓知識與資源。除此之外,也在特定流程設置上,紀錄個人資料流動,了解如何收集、儲存、使用、揭露、歸檔或處理個人資料為流程的首要任務,繼而確認資料保護層面主要的差距與需要改進的領域。再將資料保護實踐於業務流程、系統、商品或服務。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
江敔菲
副法律研究員 編譯整理
韓國特許廳自2000年12月開始提供「技術公開網路服務」,透過此網站服務,研究人員可將其研發的技術公開、並登載在韓國特許廳的技術公開網站,藉以取得具公信力的公開日期。假若網站上公開的技術與先申請專利的其他技術相似,但其公開日期較早,那麼網站上公開的技術會被認為他人申請專利時的先前技術(prior art),他人就無法取得專利權。此一服務的目的在於希望企業或個人的研究開發成果可防止他人以相同或類似的技術申請專利,作為一種防禦手段。另公開的研發成果也可提供公眾免費使用,進而促進整體產業的發展。 為改善「技術公開網路服務」,增加使用上之便利性,韓國特許廳2011年10月起推出新的「技術公開網路服務」系統,規定必須載明公開的必要記載項目(包括標題、相關領域、目的、技術組成內容),以利其他人得以簡便地了解被公開的技術內容。利用人可到韓國特許廳建置之「專利資訊檢索服務(Korea Intellectual Property Rights Information Service, KIPRIS) 」網站進行檢索,搜尋所需之技術內容。 研發者可以將自己的發明想法公開,防止他人就同一或類似技術申請專利;同時任何人皆可查詢利用已經公開的技術,避免重複研發,也可讓業界掌握技術發展的最新動向,以促進技術之活用。
2011年個人資料外洩事件與前年相比減少128件,總數為1551件-預測賠償金額比前年擴大1.5倍日本2011年個人資料外洩事件及事故的件數比前年減少為1551件,但洩漏的個人資料筆數卻超過前年一成以上,約有600萬筆個人資料外洩。從數字來看預估的賠償金額是超過1900億日幣。 日本網路資安協會(JNSA)與資訊安全大學研究所的原田研究室及廣松研究室共同針對報紙集網路媒體所報導的個人資料外洩相關事件及事故所進行的調查所做的結論。 新力集團旗下的海外公司雖然發生合計超過1億筆的大規模個人資料外洩的意外,但此一事故並無法明確判別是否屬於個人資料保護法的適用範圍,因此從今年的調查對象裡排除。 在2011年發生的資料外洩事件有1551件,比起前年的1679件減少128件,大約跟2009年所發生的個人資料外洩差不多水準。外洩的個人資料筆數總計約628萬4363筆,與前年相較約增加70萬筆。平均1件約洩漏4238筆個人資料。 將事故原因以件數為基礎來分析,可以發現「操作錯誤」佔全體的34.8%為第一位,其次是「管理過失」佔32%,再接下來是「遺失、忘記帶走」佔13.7%。但以筆數來看,值得注意的是「管理過失」佔37.7%最多,但「操作錯誤」就僅有佔2.3%的少數。 再以佔全體事件件數5%的「違法攜出」就佔了全體筆數的26.9%;在佔全體件數僅有1.2%的「違法存取」卻在筆數佔了20.9%,可以看到平均每一件的受害筆數有開始膨脹的傾向。 再者從發生外洩原因的儲存媒體來看,紙本佔了以件數計算的68.7%的大多數,以USB記憶體為首的外接式記憶體佔了10.1%;但以筆數計算的話,外接式記憶體佔了59.1%、網路佔了25.5%的不同的發生傾向。 從大規模意外來看,金融機關與保險業界是最值得注意,前10件裡佔了7件。從發生原因來看,「違法攜出」及「內部犯罪」所造成的事故10件中有4件,其次是「管理過失」。規模最大的是山陰合同銀行的受委託人將業務所需的165萬7131件個人資料攜出的事故。 依據2011年所發生的事件及事故的預估賠償額是1899億7379萬日幣。遠超過前年的1215億7600萬日幣。平均一起事件預估損害賠償金額有1億2810萬日幣,每人平均預估賠償金額是4萬8533日幣。
歐盟佐審官建議修正與加拿大之「航空乘客個人資料共享協議(草案)」,以維護人權歐洲聯盟法院(CJEU)佐審官 (Advocate General ) Paolo Mengozzi 於今年(2016) 9月8日提出一份不具拘束力之「航空乘客個人資料共享協議(草案)」( European Union on the transfer and processing of passenger name record data (“PNR Agreement”)) 法律意見,認為協議應遵守歐盟憲章有關人權之基本原則。此份法律意見為歐洲聯盟法院首次就國際協議草案,檢視與歐盟憲章有關規範之一致性。 [背景] PNR協議草案於2010年5月開始協商,2014年6月25日簽署。主要以反恐為目的讓歐盟與加拿大交換航空乘客資訊(包括旅客姓名、旅行日期、行程記錄、機票、聯繫資訊、旅行社等其他有關資訊)。除加拿大之外,歐盟亦與美國、澳洲簽有類似資料共享協議。關注到PNR協議有關隱私、人權之議題,歐盟議會將PNR協議提至歐洲聯盟法院審議。 [法律意見] 佐審官認為,協議同意在特定條件下就限定目標之乘客蒐集其敏感資訊,未違反歐盟憲章;然PNR協議草案仍有部分內容違反歐盟憲章:即草案允許歐盟、加拿大主管機關使用乘客姓名等數據,已逾越預防恐怖組織犯罪和跨國犯罪的必要範圍。 因歐洲聯盟法院去年已廢除歐盟與美國之間之安全港(Safe Harbor)法案,隨後雖起草隱私保護協議(Privacy Shield),但仍有意見質疑隱私保護之完整性。PNR協議草案法律意見之提出,可窺歐盟關於隱私保護之立場。
預先擬定的事故應變計畫可降低資料外洩成本根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每件資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,每件資料侵害事故的平均成本也會節省4英磅。 依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。。 專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。